Програмний движок WebKit, який використовують у браузерах, має кілька уразливих місць. Слабкі місця можна використати для віддаленого виконання коду, переконавши цільового користувача відвідати шкідливий веб-сайт.
WebKit – це движок з відкритим кодом, який використовується у Safari та іншими продуктами Apple, а також багатьма іншими програмами для macOS, iOS та Linux.
Нещодавно аналітична та дослідницька група з розслідування загроз Cisco Talos показала, що один з її дослідників виявив кілька уразливих місць, які можна використати для віддаленого виконання коду, направивши цільового користувача для доступу до спеціально створеної веб-сторінки при користуванні браузером, який використовує WebKit, повідомляє SecurityWeek.
Уразливі місця пов’язані з функціональністю компонентів WebSocket, AudioSourceProviderGStreamer та ImageDecoderGStreamer WebKit.
За словами співробітників групи, про недоліки у захисті двигуна було повідомлено цієї осені, і вони були виправлені на початку цього місяця. Ідентифікатори вразливостей позначені як CVE-2020-13584, CVE-2020-13558 та CVE-2020-13543.
У рекомендації, опублікованій минулого тижня розробниками WebKitGTK, повнофункціонального порту WebKit та WPE, реалізації WebKit для вбудованих пристроїв та пристроїв з низьким споживанням, згадуються дві уразливості виконання коду, виявлені Talos – одна, розкрита зараз та одна, розкрита у вересні – а також кілька вразливостей, про які повідомляли інші дослідники.
Група Talos опублікувала докладні технічні рекомендації щодо кожної уразливості, і компанія Cisco надала клієнтам правила SNORT, щоб допомогти виявити спроби експлуатації.
Apple, у продуктах якої активно використовується WebKit, очевидно, виправить останні вразливості у майбутніх оновленнях програмного забезпечення.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.
